企業網路安全從不靠單一機制守護。RADIUS 把守網路入口,Kerberos 管理內部通行,兩者分工明確,共同構成現代企業的身份驗證骨幹。
RADIUS:網路邊界的守門人
RADIUS(Remote Authentication Dial-In User Service)實現完整的 AAA 三位一體:驗證(Authentication)確認身份、授權(Authorization)決定權限、記帳(Accounting)紀錄行為。它部署在網路邊界,攔截 Wi-Fi 連線、VPN 接入與遠端撥號請求。用戶端向 NAS(網路存取伺服器)送出憑證,NAS 轉交 RADIUS Server 裁決;通過則放行,拒絕則阻斷。所有流量在進入內網前,必先過此關卡。RADIUS 採用 UDP 傳輸,預設 port 1812(驗證)與 1813(記帳),密碼以 MD5 雜湊保護,現代部署多搭配 EAP-TLS 強化安全性。
Kerberos:內網的票證通行系統
Kerberos 是 Active Directory 環境的核心 SSO 引擎,以票證(Ticket)機制取代重複輸入密碼。流程分三步:① 向 KDC 的 AS(驗證服務)換取 TGT(票證授予票證);② 憑 TGT 向 TGS(票證授予服務)申請服務票證;③ 持服務票證直接存取目標資源。密碼從不在網路上傳輸,所有憑證以對稱金鑰加密,有效期預設 10 小時。一次登入即可漫遊整個內網,是企業 Windows 環境 SSO 的實質標準,亦支援跨網域信任(Cross-Realm Trust)。
💡 兩者核心差異一覽
- 守備範圍:RADIUS 守外(邊界存取),Kerberos 守內(服務存取)
- 協定設計:RADIUS 用 UDP + 共享密鑰;Kerberos 用 TCP/UDP + 對稱加密票證
- 核心功能:RADIUS 提供 AAA 全流程;Kerberos 專注 SSO 與票證委派
- 典型場景:企業 Wi-Fi/VPN 登入 vs. AD 網域內服務存取
成熟的企業架構通常同時部署兩者:使用者先經 RADIUS 驗證進入內網,再由 Kerberos 票證機制在內部自由穿梭各系統,形成縱深防禦。
📚 參考文獻
- RFC 2865 – Remote Authentication Dial In User Service (RADIUS)|IETF 官方規範
- MIT Kerberos Documentation|Kerberos 原始開發機構官方文件
- Kerberos 驗證概觀|Microsoft Learn 官方文件
⚠️ 本文內容基於撰寫時的最新資訊,實際應用時請參考官方文件的最新版本。
留言
張貼留言